2,4 miljoen gevoelige gebruikersgegevens Dow Jones gelekt

Dow Jones heeft 2,4 miljoen gebruikersgegevens gelekt via een verkeerd geconfigureerde server van Amazon Web Services (AWS). Dat meldt Silicon Angle. Dow Jones is een financieel bedrijf en de Dow Jones Industrial Average is erg belangrijk voor de Amerikaanse beurs. 

Het lek werd ontdekt door beveiligingsonderzoeker Bob Diachenko. Hij vond de database, die openstond voor iedereen, via een AWS Elasticseach instance. De data bevatte persoonlijke details gerelateerd aan wat Dianchenko identificeerde als politici, mensen met politieke invloed in ieder land en ambtenaren. Ook was er data gerelateerd aan hun familieleden, nauwe collega’s en bedrijven te vinden.

Dow Jones heeft het lek bevestigd, maar legt de schuld bij anderen neer. Tegenover Diachenko stelt het bedrijf dat “ons onderzoek op dit moment suggereert dat dit het resultaat is van een misconfiguratie van een AWS-server door een geautoriseerde derde partij, en dat de data niet langer beschikbaar is”.

Kritiek

Diverse mensen uiten tegenover Silicon Angle echter kritiek op het lek. “Dow Jones had twee jaar geleden een vergelijkbare misconfiguratie in cloud-opslag, waarbij de informatie van 2,2 miljoen klanten werd gelekt”, stelt Chris DeRamus, CTO bij DivvyCloud.

“Het is verontrustend dat Dow Jones duidelijk niet de juiste stappen heeft genomen om zijn beveiliging te verbeteren. Organisaties moeten zich bewust zijn van het belang van het balanceren van hun gebruik van de publieke cloud, containers, hybride infrastructuur en goede beveiligingscontroles.”

“Zulke lekken worden vaak veroorzaakt door gaten in beveiligingsprogramma’s, die eenvoudig gedetecteerd en voorkomen kunnen worden”, voegt Carl Wright, CCO bij AttackIQ, toe. “Organisaties moeten proactieve stappen ondernemen om hun data te beschermen via een continue evaluatie van hun bestaande beveiliging, om gaten te vinden voordat een hacker dat doet en kwetsbaarheden misbruikt.”

Anurag Kahol, CTO en oprichter van Bitglass, noemt het niet beveiligen van dergelijke informatie “nalatig en onverantwoordelijk”. “Hoewel alle organisaties hun data moeten beschermen, moet zeker Dow Jones voldoen aan de hoogste beveiligingsstandaarden. Het type informatie dat zij verzamelen, opslaan en delen vereist dat.”